主页 / user-7720

David Archer's questions

Martin Hope
David Archer
Asked: 2009-06-26 08:52:09 +0800 CST
  • 33

任何处理过文件服务器权限的人都知道,NTFS 有一个有趣的设计特性/缺陷,称为移动/复制问题。

本 MS 知识库文章中所述,如果文件夹或文件被移动并且源和目标位于同一 NTFS 卷上,则文件夹或文件的权限不会自动从父级继承。如果复制文件夹或源和目标位于不同的卷上,则会继承权限。

这是一个简单的例子:

您在同一个 NTFS 卷上有两个共享文件夹,分别称为“Technicians”和“Managers”。Technicians 组对 Technicians 文件夹具有 RW 访问权限,Managers 组对“Managers”文件夹具有 RW 访问权限。如果有人可以访问这两个文件夹,并且他们将一个子文件夹从“Managers”文件夹移动到“Technicians”文件夹,则移动的文件夹仍然只能由“Managers”组中的用户访问。“技术人员”组无法访问子文件夹,即使它位于“技术人员”文件夹下,并且应该从顶部继承权限。

正如您可以想象的那样,这会导致解决这些最终用户问题的支持电话、票证和浪费周期,更不用说如果用户经常在不同的安全文件夹/区域之间移动文件夹,您最终可能会遇到的权限嵌套。相同的音量。

问题是:

解决此 NTFS 设计缺陷的最佳方法是什么?您如何在您的环境中处理它?

我知道链接的知识库文章讨论了一些注册表项来更改 Windows 资源管理器的默认行为,但它们是客户端的,并且要求用户能够更改权限,如果你在大多数环境中我认为这是一个非首发者希望控制您的文件服务器权限(以及您作为系统管理员的理智)。

filesystems permissions access-control-list ntfs
Martin Hope
David Archer
Asked: 2009-06-11 20:32:59 +0800 CST
  • 4

在我的环境中,我有几个项目涉及在多个文件服务器上运行 NTFS ACL 审计报告和各种 ACL 清理活动。我无法在服务器上本地执行这些活动的主要原因有两个:

1)我没有对服务器的本地访问权限,因为它们实际上是由另一家公司拥有和管理的。

2) 它们是运行经过修改的 Linux 操作系统(称为 GuardianOS)的SNAP NAS 服务器,因此即使我可以获得本地访问权限,我也不确定是否可以使用工具来执行我需要的操作。

解决了这个问题,我最终推出了自己的 ACL 审计报告工具,该工具将从指定的顶级路径开始向下递归文件系统,并将在 ACL 上遇到的所有组/用户吐出 HTML 报告以及显示权限的变化,因为它下降了树。在开发这个工具时,我发现网络开销是执行这些操作的最糟糕的部分,通过多线程处理,我可以实现更高的性能。

但是,我仍然坚持寻找一个好的工具来执行 ACL 修改和清理。您的标准开箱即用工具(cacls、xcacls、Explorer)似乎是单线程的,并且在通过网络时会遭受显着的性能损失。

问题

是否有任何比 Explorer 或 CACLS 更快的工具用于跨网络执行 NTFS ACL 修改?

filesystems security access-control-list ntfs
Martin Hope
David Archer
Asked: 2009-06-06 20:41:46 +0800 CST
  • 10

文件服务器是 IT 中的一个事实,我很好奇是否有任何普遍接受的做法(我在这里犹豫使用“最佳”一词)如何创建组并应用权限来管理客户端对共享文件夹的访问一个文件服务器。

在我目前的工作中,我最终继承了很多不同的方法,从 ACL 上的数十个组到将单个用户直接放在文件系统上。我的任务是清理混乱并在整个公司(大型环境、15 万员工、9 万台客户端计算机、100 台文件服务器)中找到某种标准化的方法来解决这个问题。

根据我对这个问题的理解,您似乎至少需要一组每个安全资源所需的访问级别。这个模型似乎提供了最大的灵活性,因为您不需要再次触及文件系统权限,除非您需要支持不同的访问级别。缺点是与跨多个共享资源重复使用同一组相比,您将创建更多组。

这是一个显示我的意思的示例:

在名为 FILE01 的文件服务器上有一个名为“测试结果”的共享,您有需要只读访问、读写访问和完全控制的人员。1 个安全资源 * 3 个访问级别 = 3 个安全组。在我们的 AD 环境中,我们将它们创建为通用组,以便我们可以轻松地从林中的任何域添加用户/组。由于每个组唯一地引用一个共享文件夹和访问级别,组名包含这些“关键”数据,因此权限为:

"FILE01-Test Results-FC"  --  Full Control
"FILE01-Test Results-RW"  --  Read & Write
"FILE01-Test Results-RO"  --  Read Only

通常,我们还将包括内置的 SYSTEM 帐户和具有完全控制访问权限的内置管理员。现在可以使用组成员身份来处理对谁实际获得此共享的访问权限的任何更改,而不必触及 ACL(通过添加代表特定业务角色的“角色”组,如经理、技术人员、QA 分析师等,或者只是个人用户进行一次性访问)。

两个问题:

1)这实际上是处理权限的推荐或有效方法,还是我错过了一些更简单、更优雅的解决方案?我会对任何使用继承但仍然保持灵活性的解决方案特别感兴趣,因为当事情发生变化时不必重新 ACL 大部分文件系统。

2) 您如何在您的环境中处理文件服务器权限和组结构?那些也在大型环境中工作的人可以获得奖励积分。

filesystems active-directory access-control-list ntfs